Problemen oplossen met Network Time Protocol (NTP) op FireSIGHT-systemen

Downloadopties

  • PDF     (404.3 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (229.3 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (176.3 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:1 mei 2023
Document-id:118626

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft veelvoorkomende problemen met tijdsynchronisatie op FireSIGHT-systemen en hoe u deze kunt oplossen.

    Voorwaarden

    Vereisten

    Als u de tijdsynchronisatie-instelling wilt configureren, hebt u toegang op beheerdersniveau nodig in uw FireSIGHT-beheercentrum.

    Gebruikte componenten

    Dit document is niet beperkt tot specifieke software- en hardware-versies.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    U kunt ervoor kiezen om de tijd tussen uw FireSIGHT-systemen op drie verschillende manieren te synchroniseren, zoals handmatig met externe Network Time Protocol (NTP)-servers of met FireSIGHT Management Center dat als een NTP-server fungeert. U kunt een FireSIGHT Management Center configureren als een tijdserver met NTP en deze vervolgens gebruiken om de tijd tussen het FireSIGHT Management Center en beheerde apparaten te synchroniseren.

    Symptomen

    • FireSIGHT Management Center geeft gezondheidswaarschuwingen weer in de browserinterface.

    Health Alerts Displayed

    • Op de pagina Gezondheidsmonitor wordt een toestel als kritisch weergegeven, omdat de status van de tijdsynchronisatiemodule niet synchroon loopt.

    Health Monitor Shows Appliance as Critical

    • U kunt intermitterende gezondheidswaarschuwingen zien als de apparaten niet gesynchroniseerd blijven.
    • Nadat een systeembeleid is toegepast, kunt u gezondheidswaarschuwingen zien, omdat het tot 20 minuten kan duren voordat een FireSIGHT-beheercentrum en de beheerde apparaten zijn gesynchroniseerd. Dit komt omdat een FireSIGHT Management Center eerst moet synchroniseren met de geconfigureerde NTP-server voordat het tijd kan besteden aan een beheerd apparaat.
    • De tijd tussen een FireSIGHT Management Center en een beheerd apparaat komt niet overeen.
    • Gebeurtenissen die op de sensor worden gegenereerd, kunnen minuten of uren duren voordat ze zichtbaar worden op een FireSIGHT Management Center.
    • Als u virtuele toestellen uitvoert en de pagina Gezondheidscontrole aangeeft dat de klokinstelling voor uw virtuele toestel niet is gesynchroniseerd, controleert u de synchronisatie-instellingen van het systeembeleid. Cisco raadt u aan uw virtuele apparaten te synchroniseren met een fysieke NTP-server. Synchroniseer uw beheerde apparaten (virtueel of fysiek) niet met een virtueel defensiecentrum.

    Problemen oplossen

    Stap 1: NTP-configuratie controleren

    Hoe te controleren in Versies 5.4 en eerder

    Controleer of NTP is ingeschakeld op het systeembeleid dat wordt toegepast op de FireSIGHT-systemen. Voer de volgende stappen uit om dit te controleren:

    1. Kies Systeem > Lokaal > Systeembeleid.
    2. Bewerk het systeembeleid dat op uw FireSIGHT-systemen wordt toegepast.
    3. Kies voor tijdsynchronisatie.

    Controleer of het FireSIGHT Management Center (ook bekend als Defence Center of DC) de klok heeft ingesteld op Via NTP van en een adres van een NTP-server is opgegeven. Bevestig ook dat het beheerde apparaat is ingesteld op via NTP van Defence Center.

    Als u een externe NTP-server opgeeft, moet uw toestel toegang hebben tot het netwerk. Geef geen niet-vertrouwde NTP-server op. Synchroniseer uw beheerde apparaten (virtueel of fysiek) niet met een Virtual FireSIGHT Management Center. Cisco raadt u aan uw virtuele apparaten te synchroniseren met een fysieke NTP-server.


    Synchronize Virtual Appliances to a Physical NTP Server

    Hoe te controleren in Versies 6.0 en later

    In versie 6.0.0 en hoger worden de instellingen voor tijdsynchronisatie op afzonderlijke plaatsen in het Firepower Management Center geconfigureerd, hoewel ze dezelfde logica volgen als de stappen voor 5.4.

    De instellingen voor tijdsynchronisatie voor het Firepower Management Center zelf vindt u onder Systeem > Configuratie > Tijdsynchronisatie.

    De instellingen voor tijdsynchronisatie voor de beheerde apparaten vindt u onder Apparaten > Platforminstellingen. Klik op Bewerken naast het beleid Platforminstellingen dat op het apparaat is toegepast en kies vervolgens Tijdsynchronisatie.

    Nadat u de configuratie voor tijdsynchronisatie hebt toegepast (ongeacht de versie), moet u ervoor zorgen dat de tijd op uw beheercentrum en beheerde apparaten overeenkomt. Anders kunnen onbedoelde gevolgen optreden wanneer de beheerde apparaten communiceren met het Management Center.

    Stap 2: Identificeer een Timeserver en zijn status

    • Om informatie te verzamelen over de verbinding met een tijdserver, voert u deze opdracht in op uw FireSIGHT Management Center: 
      admin@FireSIGHT:~$ ntpq -pn

           remote           refid      st t when poll reach   delay   offset  jitter
      ==============================================================================
      *198.51.100.2   203.0.113.3      2 u  417 1024  377   76.814    3.458   1.992

      Een asterisk '*' onder de afstandsbediening geeft de server aan waarop u momenteel bent gesynchroniseerd. Als een item met een sterretje niet beschikbaar is, wordt de klok momenteel niet gesynchroniseerd met de tijdbron.

      Op een beheerd apparaat kunt u deze opdracht op shell invoeren om het adres van uw NTP-server te bepalen:

      > show ntp

      NTP Server                : 127.0.0.2  (Cannot Resolve)
      Status                    : Being Used
      Offset                    : -8.344 (milliseconds)
      Last Update               : 188 (seconds)

      Opmerking: Als een beheerd apparaat is geconfigureerd om tijd te ontvangen van een FireSIGHT-beheercentrum, toont het apparaat een tijdbron met loopback-adres, zoals 127.0.0.2. Dit IP-adres is een sfipproxy-vermelding en geeft aan dat het virtuele beheernetwerk wordt gebruikt om de tijd te synchroniseren.

    • Als een toestel aangeeft dat het synchroniseert met 127.127.1.1, geeft dit aan dat het toestel synchroniseert met zijn eigen klok. Het treedt op wanneer een timeserver die is geconfigureerd op een systeembeleid niet synchroniseerbaar is. Voorbeeld: 
      admin@FirePOWER:~$ ntpq -pn

           remote           refid      st t when poll reach   delay   offset  jitter
      ==============================================================================
       192.0.2.200     .INIT.          16 u    - 1024    0    0.000    0.000   0.000
      *127.127.1.1     .SFCL.          14 l    3   64  377    0.000    0.000   0.001
    • Als u bij de opdrachtuitvoer ntpq opmerkt dat de waarde van st (stratum) 16 is, geeft dit aan dat de timeserver onbereikbaar is en dat het toestel niet kan synchroniseren met die timeserver.
    • Op de ntpq-opdrachtuitvoer toont bereik een octaal getal dat aangeeft dat de bron voor de meest recente acht peilingpogingen is bereikt of niet is bereikt. Als je ziet dat de waarde 377 is, betekent dit dat de laatste 8 pogingen succesvol waren. Andere waarden kunnen erop wijzen dat een of meer van de laatste acht pogingen niet succesvol waren.

    Stap 3: Connectiviteit verifiëren

    1. Controleer de basisconnectiviteit met de tijdserver. 
      admin@FireSIGHT:~$ ping
    2. Zorg ervoor dat poort 123 is geopend op uw FireSIGHT-systeem. 
      admin@FireSIGHT:~$ netstat -an | grep 123
    3. Controleer of poort 123 is geopend op de firewall.
    4. Controleer de hardwareklok: 
      admin@FireSIGHT:~$ sudo hwclock

      Als de hardwareklok te ver achterhaald is, kunnen ze nooit met succes synchroniseren. Voer deze opdracht in om de klok handmatig met een tijdserver in te stellen:

      admin@FireSIGHT:~$ sudo ntpdate -u

      Start vervolgens opnieuwntpdop:

      admin@FireSIGHT:~$ sudo pmtool restartbyid ntpd

    Stap 4: Configuratiebestanden verifiëren

    1. Controleer of het bestand sfipproxy.conf correct is ingevuld. Dit bestand stuurt NTP-verkeer over de sftunnel.


      Een voorbeeld van het bestand /etc/sf/sfipproxy.conf op een beheerd apparaat wordt hier weergegeven:

      admin@FirePOWER:~$ sudo cat /etc/sf/sfipproxy.conf

      
config
      {
          nodaemon 1;
      }
      peers
      {
          dbef067c-4d5b-11e4-a08b-b3f170684648
          {
              services
              {
                  ntp
                  {
                      listen_ip 127.0.0.2;
                      listen_port 123;
                      protocol udp;
                      timeout 20;
                  }
              }
          }
      }

      Een voorbeeld van het bestand /etc/sf/sfipproxy.conf op een FireSIGHT Management Center wordt hier weergegeven:

      admin@FireSIGHT:~$ sudo cat /etc/sf/sfipproxy.conf

      
config
      {
          nodaemon 1;
      }
      peers
      {
          854178f4-4eec-11e4-99ed-8b16d263763e
          {
              services
              {
                  ntp
                  {
                      protocol udp;
                      server_ip 127.0.0.1;
                      server_port 123;
                      timeout 10;
                  }
              }
          }
      }
    2. Zorg ervoor dat de Universally Unique Identifier (UUID) onder de sectie peers overeenkomt met het ims.conf-bestand en de peer. Zo moet de UUID die onder de sectie peers van het /etc/sf/sfipproxy.conf-bestand in een FireSIGHT Management Center wordt gevonden, overeenkomen met de UUID die in het /etc/ims.conf-bestand van het beheerde apparaat wordt gevonden. Evenzo moet de UUID die onder de sectie peers van het /etc/sf/sfipproxy.conf-bestand op een beheerd apparaat wordt gevonden, overeenkomen met de UUID die in het /etc/ims.conf-bestand van het beheerapparaat is gevonden. 

      U kunt de UUID van de apparaten ophalen met deze opdracht:

      admin@FireSIGHT:~$ sudo grep UUID /etc/sf/ims.conf

      APPLIANCE_UUID=dbef067c-4d5b-11e4-a08b-b3f170684648

      Deze moeten normaal gesproken automatisch worden ingevuld door het systeembeleid, maar er zijn gevallen geweest waarin deze strofen verloren gingen. Als ze moeten worden gewijzigd of gewijzigd, moet u sfipproxy en sftunnel opnieuw starten zoals in dit voorbeeld te zien is:

      admin@FireSIGHT:~$ sudo pmtool restartbyid sfipproxy
admin@FireSIGHT:~$ sudo pmtool restartbyid sftunnel
    3. Controleer of er een ntp.conf-bestand beschikbaar is in de directory /etc
      admin@FireSIGHT:~$ ls /etc/ntp.conf*

      Als een NTP-configuratiebestand niet beschikbaar is, kunt u een kopie maken van het back-upconfiguratiebestand. Voorbeeld:

      admin@FireSIGHT:~$ sudo cp /etc/ntp.conf.bak /etc/ntp.conf
    4. Controleer of het bestand /etc/ntp.conf correct is ingevuld. Wanneer u een systeembeleid toepast, wordt het bestand ntp.conf herschreven.

      Opmerking: De uitvoer van een ntp.conf-bestand toont de instellingen van de timeserver die zijn geconfigureerd in een systeembeleid. De tijdstempelvermelding moet het tijdstip weergeven waarop het laatste systeembeleid op een apparaat is toegepast. Het serveritem moet het opgegeven timeserveradres weergeven.

      admin@FireSIGHT:~$ sudo cat /etc/ntp.conf

      # automatically generated by /etc/sysconfig/configure-network ; do not edit
      # Tue Oct 21 17:44:03 UTC 2014

      restrict default noquery nomodify notrap nopeer
      restrict 127.0.0.1
      server 198.51.100.2
      logfile /var/log/ntp.log
      driftfile /etc/ntp.drift

    Controleer NTP-versies op twee apparaten en zorg ervoor dat het hetzelfde is.

    Voor meer informatie over de basisprincipes van NTP, raadpleegt u Best practices voor netwerktijdprotocol gebruiken.

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    3.0
    01-May-2023
    Hercertificering.
    1.0
    22-Oct-2014
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Nazmul Rajib
      Cisco Product Marketing Manager

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten